ACL配置实验#答案参考

1、ACL配置实验首先，实验的目的：彻底了解包过滤防火墙的工作原理二、实验内容：练习使用数据包跟踪模拟软件配置ACL三。实验要求A.下图显示了拓扑结构：1、2、3是主机，4是服务器1.配置主机、服务器和路由器的IP地址以连接网络；2.配置标准ACL，使主机1可以访问主机3和4，而主机2不能访问主机3和4。使配置生效，然后删除ACL。3.配置扩展ACL，使主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，四个主机可以相互ping。使配置生效，然后删除ACL。B.下图显示了拓扑结构(要求：不同于拓扑上的ip地址配置)1.配置ACL以限制对路由器主机的远程登录。路由器R0只允许192.

2、168.2.2 telnet。2.配置ACL以禁止/24网段上的icmp协议数据包到达/24网段。3.使用ACL禁止功能配置协议端口通信。禁止使用www (80)端口访问。禁止使用dns (53)端口访问3.验证ACL规则，检查和查看ACL。四.实验步骤1.配置主机、服务器和路由器的IP地址以连接网络；PC0 ping PC2PC1 ping服务器服务器ping PC02.配置标准ACL，使主机1可以访问主机3和4，而主机2不能访问主机3和4。使配置生效，然后删除

3、ACL。Routeren路由器#conf t输入配置命令，每行一个。以CNTL/Z结尾路由器(配置)#访问列表1拒绝路由器(配置)#访问列表1允许任何路由器(配置)#int f 0/1路由器(配置-如果)#ip接入组1输出路由器(配置-如果)#退出路由器(配置)#退出Pc1 ping pc2和服务器Pc0 ping pc2和服务器，can ping删除ACLRouteren路由器#显示访问列表标准IP访问列表1拒绝主机 (8个匹配项)允许任何(8场比赛)路由器#conf t输入配置命令，每行一个。以CNTL/Z结尾路由器(配置)#ip访问列表标准软件

4、路由器(配置-标准-氯化钠)#无访问列表1路由器(配置)#退出路由器#%SYS-5-CONFIG_I:由控制台从控制台配置路由器#显示访问列表标准IP访问列表软件PC1可以再次ping PC2和服务器。3.配置扩展ACL，使主机1可以访问主机4的www服务，主机2不能访问主机4的www服务，四个主机可以相互ping。使配置生效，然后删除ACL。改变之前更改aclRouteren路由器#conf t输入配置命令，每行一个。以CNTL/Z结尾路由器(配置)#访问列表101拒绝TCP 192 . 168 . 1 . 2 255 . 255 . 255 . 0 192 . 168 . 2 . 2 25

5、5 . 255 . 0 eq 80路由器(配置)#访问列表101允许任何ip路由器(配置)#int f 0/1路由器(配置-如果)#ip接入组101输出Pc1无法访问服务器的www服务pc0 canPc1可以ping服务器删除ACL路由器#显示访问列表标准IP访问列表软件扩展的IP访问列表101拒绝TCP 0 . 0 . 0 . 2 255 . 255 . 255 . 0 0 . 0 . 2 255 . 255 . 255 . 0 eq允许任何IP(9个匹配项)路由器#conf t输入配置命令，每行一个。以CNTL/Z结尾路由器(配置)#ip访问列表扩展101路由器(配置-外部-氯化钠)#无访

6、问列表101路由器(配置)#退出Pc1可以成功访问服务器的www服务。实验b域名系统服务器配置实验b基本配置每台主机ping服务器；1.配置ACL以限制对路由器主机的远程登录。路由器R0只允许 telnet。高庄-R0en密码：高庄-R0#conf t输入配置命令，每行一个。以CNTL/Z结尾高庄-R0(配置)#访问列表1允许主机高庄-R0(配置)线vty 0 4高庄-R0(配置线)#接入-1级in高庄-R0(配置线)#2.配置ACL以禁止/24网段上的icmp协议数据包到达/24网段

7、。高庄-R2en高庄-R2 #会议输入配置命令，每行一个。以碳纳米管/锆结尾高庄-R2(配置)#访问列表101拒绝icmp 192。168 .3 .0 0 .0 .255 192 .168 .1 .0 0 .0 .255高庄-R2(配置)#访问列表101允许任何ip高庄-R2(配置)#int f 0/0高庄-R2(配置-if)#ip接入组101输出高庄-R2(配置-如果)#高庄R2#网段的网间控制报文协议包不能访问网段，但可以访问:3、配置美国公民自由协会禁止特点的协议端口通讯。禁止使用www (80)端口

8、访问禁止使用dns (53)端口访问高庄-R0en密码：高庄-R0#conf t输入配置命令，每行一个。以碳纳米管/锆结尾高庄-R0(配置)#ip访问列表扩展ACL2张高-R0(配置-外部-氯化钠)#拒绝传输控制协议主机192 .168 .2 .2 192 .168 .1 .0 0 .0 .0 .255 eq 80张高-R0(配置-外部-氯化钠)#拒绝UDP主机192 .168 .2 .3 192 .168 .1 .0 0 .0 .255 eq 53张高-R0(配置-外部-氯化钠)#允许任何ip高庄-R0(配置-外部-氯化钠)#

9、出口高庄-R0(配置)#int f 0/0张高-R0(配置-如果)# IP接入组ac12英寸高庄-R0(配置-if)#ex高庄-R0(配置)#之前之后PC13、验证美国公民自由协会规则，检验并查看美国公民自由协会。高庄-R0 #显示访问列表标准知识产权访问列表1允许主机 (2个匹配项)扩展的知识产权访问列表ACL2拒绝传输控制协议主机192 .168 .2 .2 192 .168 .1 .0 0 .0 .255 eq拒绝用户数据报协议主机192 .168 .2 .3 192 .168 .1 .0 0 .0 .255 eq域允许任何知识产权(16个匹配项)高庄-R0 #显示ip访问列表acl2高庄-R0 #显示ip访问列表ACL2扩展的知识产权访问列